EN / DE / FR / IT
SFMA

Cyber-risques et externalisation (2024)

Les cyber-risques auxquels sont confrontés les marchés financiers sont restés élevés en 2024. La gestion des cyber-risques par les établissements surveillés a donc été à nouveau au centre des activités de surveillance de la SFMA.

Outre les audits réguliers effectués par des cabinets d'audit externes, la SFMA a réalisé plus d'une douzaine de contrôles de surveillance sur place spécifiques à la cybersécurité. Ces examens se fondent principalement sur la circulaire SFMA 2023/1 « Risques opérationnels et résilience – banques », entrée en vigueur le 1er janvier 2024. Elle contient des exigences actualisées en matière de gestion des cyber-risques, notamment en ce qui concerne le traitement des exercices de cyber-risques basés sur des scénarios. En 2020, la SFMA avait déjà publié sa Guidance 05/2020 sur la question des cyber-risques. Dans sa nouvelle Guidance 03/2024, la SFMA a pris note des résultats des travaux de surveillance sur la gestion des cyber-risques et a précisé la procédure à suivre en cas d'incidents cyber et la gestion des exercices de cyber-risques basés sur des scénarios.

Le nombre de déclarations reçues par la SFMA concernant des cyberattaques réussies ou partiellement réussies a augmenté d'environ 30 % par rapport à 2023. La SFMA a largement rendu compte de ces attaques dans son Risk Monitor 2024. Les attaques visant les prestataires de services externes des entreprises assujetties se sont également multipliées. Ces attaques représentaient environ 30 % des cyberattaques signalées. En raison de la surveillance accrue des petits acteurs du marché, tels que les gestionnaires de portefeuille indépendants ou les intermédiaires d'assurance non liés, un nombre croissant de cyberattaques ont également été enregistrées à l'encontre de ces entreprises et particuliers surveillés.

Focus sur le risque de concentration dans le domaine de l'externalisation

Comme l'explique également son Risk Monitor 2024, la SFMA considère l'externalisation de fonctions importantes à des tiers comme l'un des risques les plus importants auxquels sont confrontées les entreprises surveillées. Les institutions financières dépendent de plus en plus des prestataires de services pour la fourniture de fonctions importantes. En 2024, le nombre de services externalisés liés aux fonctions critiques des entreprises surveillées a encore augmenté. Le nombre de sous-traitants a également augmenté parallèlement à l'augmentation des services externalisés, augmentant ainsi la complexité des chaînes d'approvisionnement. Les entreprises surveillées sont donc fortement dépendantes de tiers pour fournir leurs services et assurer la continuité de leurs activités commerciales.

Au cours de la période considérée, la SFMA a collecté en permanence des données sur les activités d'externalisation significatives des banques, des assureurs, des infrastructures des marchés financiers et d'autres acteurs des marchés financiers. Elle a identifié les risques de concentration existants et constaté une concentration accrue sur des prestataires de services individuels fournissant des fonctions importantes, voire critiques, à de nombreuses institutions financières. Une panne chez l'un de ces prestataires de services ou un incident impliquant un accès non autorisé à des données sensibles qu'ils détiennent pourraient avoir des conséquences très graves sur la place financière suisse. Il y a eu une augmentation significative de l’externalisation de l’infrastructure informatique et des données critiques vers le cloud public. En 2024, une banque ou une compagnie d’assurance sur cinq externalisait déjà des données ou des fonctions importantes vers des fournisseurs de services de cloud public. La SFMA a sensibilisé les institutions et les prestataires de services à la situation de risque accru; ce faisant, l’accent a été mis sur la résilience opérationnelle des institutions et de la place financière suisse dans son ensemble. Par ailleurs, la SFMA a également suivi de près les développements internationaux dans ce domaine de la gestion des risques de tiers. En 2024, le Comité de Bâle sur le contrôle bancaire (BCBS) a commencé à définir de nouveaux principes visant à garantir une bonne gestion des risques en ce qui concerne les accords avec des tiers.

Les orientations comme instrument efficace pour promouvoir la stabilité dans le domaine cybernétique

Les cyberrisques – et leur gestion – constituent depuis de nombreuses années un principal domaine de risque auquel sont confrontées les entreprises surveillées. En 2024, la SFMA a donc intensifié ses activités de surveillance dans ce domaine. Cela s’est traduit notamment par l’augmentation du nombre de contrôles sur place ainsi que par le recours à une large gamme d’instruments de surveillance, tels que des analyses de scénarios, des exercices de table ou de red teaming ou la publication de lignes directrices. Au cours d'exercices théoriques, les rôles et les réponses en cas d'urgence sont discutés sur la base de scénarios de risque; dans le cas des exercices de red teaming, la sécurité de l'entreprise est renforcée au moyen de cyberattaques simulées.

Ces orientations se sont particulièrement avérées être un instrument efficace pour gérer un risque très dynamique, tel que le cyber-risque, et une situation de menace en constante évolution. Les conditions actuelles résultant de la situation de menace et les conclusions critiques tirées, par exemple, des contrôles de surveillance sur place, des discussions de surveillance ou du processus de cyber-reporting, peuvent ainsi être partagées rapidement avec les entreprises surveillées. De même, les évolutions sur le marché financier, comme l'utilisation de solutions cloud, ou dans le domaine technologique, par exemple l'utilisation de l'intelligence artificielle (IA) dans la gestion des cyber-risques, sont détaillées dans les orientations. La SFMA Guidance 03/2024, publiée au cours de l'année sous revue, présente les résultats des travaux de surveillance relatifs aux cyber-risques et apporte également des précisions supplémentaires en complément de la SFMA Guidance 05/2020, ainsi qu'en ce qui concerne les exercices de cyber-risques basés sur des scénarios. Dans le cadre des exigences de surveillance existantes, la SFMA contribue ainsi à des améliorations ciblées et continues en termes de mise en œuvre de ces exigences. Cette publication a permis de maintenir en 2024 la sensibilisation des entreprises assujetties aux cyber-risques à un niveau constamment élevé. Même après la publication des exigences en matière de surveillance, la SFMA a continué à jouer son rôle en augmentant continuellement le niveau de maturité des entreprises assujetties en matière de gestion des cyber-risques. Ce faisant, il a renforcé la stabilité tant des institutions individuelles que du marché financier dans son ensemble. Par conséquent, en 2024, le nombre de cyberattaques contre des entreprises surveillées ayant atteint des niveaux sérieusement critiques était faible. (Extrait du rapport annuel 2024)

Documents

Rapport annuel 2024

Graphiques et informations visuelles

Cyberattacken
Cyberattacken
Cyberattaques
Cyberattaques
Cyberattaques
Cyberattaques